Sober.Y crv

Od nedavno se hrvatskim e-prostorom intenzivno počeo širiti crv Sober.Y

Crv najčešće dolazi s adresa ***@fbi.gov, ***@cia.gov, ***@yahoo.com, ***@zaba.hr, ***@inet.hr, a crv lažira i ostale e-mail adrese. Subjecti poruka glase: "You visit illegal websites", "Your IP was logged", "smtp_mail_failed", "smtp_mail_failed", "hi, I've a new e-mail adress" i "Registration confirmation".

Sama .exe datoteka crva velika je oko 55kb. Nakon što ga korisnik pokrene najčešće pokaže poruku

Kreira folder WinSecurity i stvara neke od ovih datoteka:
services.exe
csrss.exe
smss.exe
mssock1.dli
mssock2.dli
mssock3.dli
winmem1.ory
winmem2.ory
winmem3.ory
socket1.ifo
socket2.ifo
socket3.ifo
nonrunso.ber
langeinf.lin
runstop.rst
rubezahl.rub
bbvmwxxf.hml
filesms.fms

U Registry-ju stvara entryje:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] " Windows" = "%WinDir%\WinSecurity\services.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "_Windows" = "%WinDir%\WinSecurity\services.exe"

Crv gasi i ometa aplikacije koje sarže sljedeće substringove:
microsoftanti
gcas
gcip
giantanti
inetupd.
nod32kui
nod32.
fxsbr
avwin.
guardgui.
aswclnr
stinger
hijack
sober
brfix
s_t_i_n
s-t-i-n

Moguće je i da se pojavi poruka:

Za uklanjanje koristiti:
Update-ati lokalni antivirusni program
McAffe Stinger
Svi Zafi removal tools u kombinaciji sa ZAFIGUI.